现在关于近期安全问题的喧嚣已经平息,我认为值得指出在 Rails 1.1.6 安全版本中悄悄加入的一项大多数人都错过的精妙功能。
ActionController#filter_parameter_logging 允许您过滤掉不希望保存在日志中的表单数据。这对于防止密码和信用卡号等敏感数据以明文形式记录,以及防止大量数据堵塞日志文件非常有用。
如果您的应用程序接受密码,请将此行粘贴到您的 ApplicationController 类中
filter_parameter_logging "password"
这将阻止任何名称与模式 /password/i 匹配的字段被记录,因此 [user][password] 和 [user][password_confirmation] 都将被过滤掉。如果您关心防止密码泄露,请立即去操作。
感谢 Jeremy Evans 的补丁!